Вы уверены, что "белый список" безопасен? Dynamic DNS стали главной ловушкой для корпораций

leer en español

Silent Push DNS Dynamic DNS домен C2
Вы уверены, что "белый список" безопасен? Dynamic DNS стали главной ловушкой для корпораций
Silent Push DNS Dynamic DNS домен C2

Ваш сисадмин случайно пустил хакеров внутрь.

image

Специалисты Silent Push представили подробное исследование о сервисах аренды поддоменов, которые в документации и на форумах часто называют Dynamic DNS. Площадки позволяют любому пользователю получить домен третьего уровня и развернуть на нём собственный контент, причём контроль со стороны владельцев доменов минимален. Такая свобода привлекает злоумышленников: арендованные поддомены используются для C2-трафика, фишинга и хостинга вредоносных нагрузок. В Silent Push заявляют, что в реальном времени отслеживают около 70 тысяч доменов, сдающих поддомены в аренду.

Авторы разбирают три модели работы подобных площадок. В первой нет контроля хостинга и часть контента предзадана провайдером — как у Blogspot, хотя шаблон можно частично скрыть. Во второй нет контроля хостинга, но контент можно менять свободно — примером служит pages.dev. В третьей доступны полный контроль DNS-записей и самостоятельное размещение — такой режим часто предлагается по платным планам, как у afraid[.]org. На практике эти площадки действуют как «мини-регистраторы» без процедур ICANN и IANA: достаточно купить домен, поднять маршрутизацию и биллинг. Дополняют картину криптовалютные платежи без KYC и слабые каналы приёма жалоб, из-за чего вредоносные узлы живут значительно дольше.

Silent Push подчёркивает, что отслеживание подобных сетей — нетривиальная задача. Часть площадок попадает в раздел «Private Domains» Public Suffix List, где есть крупные сервисы вроде Blogspot и pages.dev. Однако подавляющее большинство «низкокачественных» арендных хостов в PSL отсутствуют, а внешних заявок в список не принимают, поэтому их приходится фиксировать отдельно. Отдельный фокус — инфраструктура afraid[.]org: там десятки тысяч доменов, старейшим около 25 лет, и каждый месяц появляются новые. Кроме публичных, существуют «stealth»-домены, которые видны только по NS-записям. По запросу по NS для afraid[.]org платформа выдала свыше 591 тысяч результатов, что демонстрирует масштаб экосистемы.

Помимо afraid[.]org, команда перечисляет и другие заметные провайдеры: ChangeIP, CloudDNS, DNSexit, DuckDNS, DuiaDNS, DynDNS, Dynu, NowDNS, YDNS, NoIP. Отдельно упомянут небольшой провайдер AttractSoft — его домены использовались в атаках против Украины; для него подготовлен специфический «отпечаток» в закрытых отчётах. По наблюдениям исследователей, сектор аренды поддоменов подпитывается компаниями-прокладками и анонимными владельцами, а число злоумышленнических применений превышает безобидные сценарии.

История злоупотреблений тянется годами и охватывает широкий спектр игроков. Gamaredon применяла такие домены в своих атаках, Scattered Spider задействовала арендованный поддомен в январе 2025 года, TA406 использовала mygamesonline[.]org, а некоторые APT-группы активно прибегали к подобным схемам в прошлые годы. Microsoft ещё в 2014-м была вынуждена вмешаться и изъять часть доменов No-IP, через которые действовали злоумышленники. Сервисы аренды остаются востребованным инструментом, поскольку позволяют держать инфраструктуру атак в сети даже после публикации предупреждений и жалоб.

Для защитников здесь множество ловушек. Такие площадки иногда попадают в корпоративные «белые списки», а сотрудники могут просить доступ к конкретному ресурсу, что толкает админов на опасную «амнистию» всего apex-домена (корневой домен). Если провайдер игнорирует обращения о злоупотреблениях, его узлы становятся особенно удобны для C2 и долгоживущих сетевых каналов. В отличие от обычных доменов, где можно давить сразу на регистратора и хостинг, у арендных поддоменов возможностей принудительного воздействия меньше, поэтому даже публично засвеченные адреса месяцами остаются активными.

В качестве мер снижения риска Silent Push подготовила Bulk Data Exports по всем отслеживаемым провайдерам аренды и Dynamic DNS, а также фиды IOFA для раннего выявления инфраструктуры атак. Рекомендации вариативны: от тотальной блокировки соединений с такими доменами до настроенных алертов — в зависимости от терпимости к риску. Команда продолжит мониторинг этого сегмента в 2025 году и призывает учитывать контекст при любых исключениях: один поддомен может быть безвредным, соседний — частью вредоноса. Рост популярности арендных сервисов и их слабая подотчётность делают осторожность единственной разумной стратегией.